Krytyczna luka w bramach Waterfall WF-500: Zdalne przejęcie kontroli

Luka o krytycznej ocenie 9.8 w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki) v3.1 ¹ została zidentyfikowana w bramach jednokierunkowych Waterfall WF-500. Urządzenia te są często stosowane do ochrony sieci przemysłowych (OT), w tym w polskim sektorze energetycznym i infrastrukturze krytycznej. Problem umożliwia zdalnemu, nieuwierzytelnionemu atakującemu całkowite ominięcie mechanizmów logowania i uzyskanie pełnych uprawnień administracyjnych ².

Błąd dotyczy oprogramowania w wersji 7.9.1.0 R2502171040 i wcześniejszych ^{3 4}. Ze względu na prostotę eksploatacji, wymagającą jedynie znajomości adresu IP urządzenia ⁵, oraz krytyczną rolę tych bramek w architekturze bezpieczeństwa, ryzyko dla operatorów jest wysokie. Dostawca opublikował już aktualizację oprogramowania ⁶.

TL;DR

• Produkt: Bramy jednokierunkowe Waterfall WF-500 TX i RX Hosts.
• Luka: CVE-2025-41273, ominięcie uwierzytelniania (CWE-288: Authentication Bypass Using an Alternate Path or Channel) ^{7 8}.
• Wektor ataku: Nieuwierzytelnione żądanie HTTP GET ⁹ do specjalnie przygotowanego punktu końcowego API, który nie waliduje sesji ¹⁰.
• Wpływ: Pełna, zdalna kontrola administracyjna nad urządzeniem ¹¹. Możliwość odczytu konfiguracji, modyfikacji ustawień, a także potencjalnego ruchu bocznego do chronionej sieci OT ¹².
• Dotyczy: Wszystkie jednostki z oprogramowaniem w wersji 7.9.1.0 R2502171040 i wcześniejszych ⁴.
• Pierwszy ruch: Identyfikacja podatnych urządzeń w sieci i natychmiastowa aktualizacja oprogramowania do wersji v7.10.0.0 R2601141040 lub nowszej ¹³.

Wektor ataku

Bramy jednokierunkowe, takie jak Waterfall WF-500, to sprzętowe rozwiązania bezpieczeństwa zaprojektowane do fizycznego uniemożliwienia przepływu danych z sieci o wysokim poziomie zaufania (np. sieć przemysłowa OT) do sieci o niższym zaufaniu (np. sieć korporacyjna IT). Pozwalają na monitorowanie systemów OT bez ryzyka wprowadzenia złośliwego ruchu z zewnątrz. Luka w takim komponencie podważa fundamentalne założenia bezpieczeństwa całej architektury.

Problem, sklasyfikowany jako CWE-288 (Common Weakness Enumeration — klasyfikacja typów luk) ⁸, leży w interfejsie webowym urządzenia. Telemetria wskazuje, że wewnętrzny punkt końcowy API, używany przez panel administracyjny, nie weryfikuje tokenów sesji dla niektórych żądań ¹⁰. Oznacza to, że serwer WWW udostępnia alternatywną ścieżkę dostępu, która nie jest chroniona standardowym filtrem uwierzytelniania ¹⁴.

Atakujący nie potrzebuje żadnych poświadczeń. Wystarczy, że zna adres IP podatnego urządzenia ⁵. Następnie wysyła proste żądanie HTTP GET ⁹ pod jeden z niechronionych adresów URL, na przykład /console/api/status lub /console/debug ¹⁴. Serwer, zamiast zażądać logowania, nie sprawdza ani plików cookie, ani tokenów, ani nagłówków uwierzytelniających ¹⁵. Przetwarza żądanie tak, jakby pochodziło od zalogowanego administratora ¹⁶.

Skutki udanego ataku są poważne. Atakujący uzyskuje pełną kontrolę administracyjną nad bramą ¹¹. Może wykonywać dowolne akcje dostępne dla administratora, w tym:

• Odczytywać wrażliwe dane konfiguracyjne ¹².
• Modyfikować ustawienia sieciowe i polityki bezpieczeństwa ¹².
• Pobierać logi systemowe, potencjalnie zacierając ślady swojej aktywności ¹².
• Wyzwoalać aktualizacje oprogramowania układowego, co może prowadzić do wgrania zmodyfikowanej wersji ¹².
• Potencjalnie wpływać na systemy w sieci OT, które ufają bramie WF-500 ¹⁷.

Atak nie wymaga żadnej interakcji ze strony prawowitego użytkownika ¹⁸. Jego złożoność jest niska, co w połączeniu z krytycznym wynikiem CVSS 9.8 ¹ czyni tę lukę szczególnie istotną dla polskich podmiotów objętych dyrektywą NIS2 (unijna dyrektywa o bezpieczeństwie sieci), zwłaszcza w sektorze energetycznym, wodociągowym czy transporcie.

Wskaźniki kompromitacji

Nie zidentyfikowano publicznych wskaźników kompromitacji (IoC — Indicators of Compromise) takich jak hashe plików czy adresy IP serwerów C2 (Command and Control — serwer kontrolujący zainfekowane maszyny). Jednakże możliwe jest poszukiwanie śladów prób wykorzystania luki. Rekomendujemy analizę logów serwera WWW na urządzeniach Waterfall WF-500 pod kątem żądań do niestandardowych ścieżek API.

Należy szukać żądań HTTP GET kierowanych do poniższych (lub podobnych) ścieżek, pochodzących z nieautoryzowanych lub nieoczekiwanych adresów IP:

/console/api/status
/console/debug

Obecność takich zapytań w logach, zwłaszcza z zewnętrznych adresów IP lub z segmentów sieci, które nie powinny mieć dostępu do interfejsu zarządzania, jest silnym sygnałem próby ataku. Należy potraktować to jako incydent bezpieczeństwa.

Co zrobić w 24-48h

Rekomendowane podejście zakłada natychmiastowe działania w celu mitygacji ryzyka. Poniższe kroki nie zastępują pełnej analizy incydentu, ale stanowią pierwszą linię obrony.

1. Identyfikacja zasobów. Priorytetem jest stworzenie listy wszystkich urządzeń Waterfall WF-500 TX i RX w infrastrukturze. Należy zweryfikować wersję oprogramowania układowego każdego z nich. Podatne są wszystkie wersje do 7.9.1.0 R2502171040 włącznie ⁴.

2. Natychmiastowa aktualizacja. Dostawca, Waterfall Security Solutions, udostępnił poprawioną wersję oprogramowania 29 maja 2026 roku ⁶. Należy bezzwłocznie zaktualizować wszystkie zidentyfikowane urządzenia do wersji v7.10.0.0 R2601141040 lub nowszej ¹³.

3. Tymczasowa mitygacja (jeśli aktualizacja jest niemożliwa). W środowiskach OT natychmiastowa aktualizacja bywa trudna. Jeśli nie można jej przeprowadzić, należy zablokować dostęp sieciowy do interfejsu webowego (domyślnie port TCP/443) z niezaufanych sieci ¹⁹. Można to zrealizować za pomocą reguł na zaporze sieciowej lub list kontroli dostępu (ACL).

4. Segmentacja sieci zarządzania. Należy zweryfikować, czy interfejs zarządzania urządzeń WF-500 jest odizolowany od reszty sieci. Rekomendowane podejście to umieszczenie go w dedykowanym VLAN-ie zarządczym lub udostępnienie go wyłącznie przez sieć VPN (Virtual Private Network) ²⁰. Dostęp do panelu administracyjnego z otwartej sieci korporacyjnej, a tym bardziej z internetu, jest niedopuszczalną praktyką.

5. Analiza logów. Przejrzyj logi dostępowe urządzeń w poszukiwaniu wskaźników opisanych w poprzedniej sekcji. Dla polskich operatorów usług kluczowych, zgodnie z dyrektywą NIS2, udokumentowanie takiej analizy jest kluczowe w kontekście zarządzania ryzykiem i raportowania incydentów do właściwego CSIRT.

Atrybucja

Luka została zidentyfikowana i odpowiedzialnie zgłoszona do producenta przez badacza Luca Borzacchiello z zespołu Nozomi Networks Labs ^{21 7}.

Źródła

Zobacz też

• Krytyczna luka w diodach danych Waterfall. RCE bez uwierzytelnienia
• Luka SQL Injection w turbinach Nordex
• CVE-2026-0611: Krytyczna luka RCE w oprogramowaniu medycznym Sentinel

Footnotes

1. Wynik bazowy CVSS v3.1 wynosi 9.8 (Krytyczny) z wektorem AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

2. Luka umożliwia zdalnym, nieuwierzytelnionym atakującym ominięcie uwierzytelniania aplikacji webowej Console i wykonywanie działań jako uwierzytelniony użytkownik. — https://nvd.nist.gov/vuln/detail/CVE-2025-41273 ↩

3. Luka dotyczy wersji 7.9.1.0 R2502171040 oprogramowania Waterfall WF-500. — https://nvd.nist.gov/vuln/detail/CVE-2025-41273 ↩

4. Luka dotyczy wszystkich jednostek WF-500 TX i RX z oprogramowaniem układowym w wersji 7.9.1.0 R2502171040 i wcześniejszych. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩² ↩³

5. Atakujący potrzebuje jedynie adresu IP urządzenia, ponieważ wrażliwa ścieżka jest osiągalna przez sieć (CVSS vector AV:N/AC:L/PR:N/UI:N). — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

6. Dostawca (Waterfall Security Solutions) wydał poprawioną wersję oprogramowania układowego 29 maja 2026 roku. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

7. Nozomi Networks Labs zidentyfikowało lukę CWE-288: Authentication Bypass Using an Alternate Path or Channel w Console WebUI w Waterfall WF-500 TX i RX Hosts. — https://nvd.nist.gov/vuln/detail/CVE-2025-41273 ↩ ↩²

8. Błąd wynika z CWE-288 — Authentication Bypass Using an Alternate Path or Channel. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-dc-jun2026-76/ ↩ ↩²

9. Wystarczy proste żądanie HTTP GET do niechronionego adresu URL. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

10. Luka polega na tym, że wewnętrzny punkt końcowy API używany przez aplikację webową nie waliduje tokenów sesji dla podzbioru żądań. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

11. Skuteczne wykorzystanie luki daje nieuwierzytelnionemu zdalnemu atakującemu pełną kontrolę administracyjną nad hostem WF-500 TX/RX. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

12. Po wykorzystaniu luki atakujący może wykonywać działania wymagające uwierzytelnienia, takie jak odczytywanie danych konfiguracyjnych, modyfikowanie ustawień sieciowych, pobieranie logów lub wyzwalanie aktualizacji oprogramowania układowego. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩² ↩³ ↩⁴ ↩⁵

13. Aby się chronić, należy zaktualizować oprogramowanie układowe do wersji v7.10.0.0 R2601141040 lub nowszej. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

14. Serwer webowy udostępnia ścieżkę (np. /console/api/status lub /console/debug), która nie jest chroniona przez normalny filtr uwierzytelniania. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩ ↩²

15. Gdy serwer odbiera żądanie do tej ścieżki, nie sprawdza ważnego pliku cookie, tokena ani nagłówka podstawowego uwierzytelniania. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩

16. Serwer przetwarza żądanie tak, jakby pochodziło od już zalogowanego administratora. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩

17. Atakujący może odczytywać wrażliwe dane konfiguracyjne, modyfikować polityki sieciowe i bezpieczeństwa, wyłączać logowanie i potencjalnie przenikać do innych systemów OT, które ufają bramie WF-500. — https://dailycve.com/ ↩

18. Nie jest wymagana interakcja użytkownika. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩

19. Jeśli natychmiastowe załatanie nie jest możliwe, należy zablokować dostęp do Console WebUI (port 443/tcp) z niezaufanych sieci za pomocą zapory sieciowej lub listy kontroli dostępu (ACL). — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩

20. Interfejs zarządzania WF-500 należy umieścić za VPN lub dedykowanym VLAN-em zarządzania, który jest izolowany od ruchu operacyjnego. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩

21. Problem został zgłoszony przez Luca Borzacchiello z Nozomi Networks. — https://dailycve.com/waterfall-wf-500-console-webui-authentication-bypass-cve-2025-41273-critical-dc-jun2026-76/ ↩